Специалисты Unit 42 раскрыли масштабную операцию Liminal Panda в телекоммуникационных сетях Азии

Хотя прямых доказательств сбора или эксфильтрации данных в ходе расследований не обнаружено, злоумышленники развернули в компрометированных сетях арсенал специализированных инструментов, обеспечивающих устойчивый удаленный доступ для будущих операций. Среди них выделяется Cordscan - инструмент для сканирования сетей и сбора геолокационных данных мобильных устройств через узлы SGSN (Serving GPRS Support Nodes). Его конфигурация включала таргетирование конкретных операторов связи в Восточной Азии, а функционал позволял перехватывать идентификаторы IMSI (International Mobile Subscriber Identity), что свидетельствует о намерении отслеживать перемещения абонентов. Другим ключевым инструментом стал GTPDoor - бэкдор, использующий протокол GTP-C (GPRS Tunneling Protocol) для маскировки командных каналов под легитимный сигнальный трафик на порту 2123. Это позволяло обходить традиционные межсетевые экраны и системы обнаружения вторжений.

Операционная безопасность (OPSEC) CL-STA-0969 выделяется как один из наиболее сложных аспектов их деятельности. Злоумышленники систематически очищали логи аутентификации с помощью утилит utmpdump и sed, удаляли исполняемые файлы после использования и маскировали процессы под легитимные системные службы. Например, вредоносные демоны назывались в стиле ядерных потоков (например, [kpqd]) или телекоммуникационных утилит (dbus-console), что затрудняло их идентификацию. Дополнительно применялась техника timestomping для подмены временных меток файлов через touch -r, что нарушало хронологию анализа в ходе расследований. Важным элементом обхода защиты стало целенаправленное отключение SELinux (Security-Enhanced Linux) через модификацию /etc/selinux/config и команду setenforce 0, что снижало контроль целостности и логирование.

Для установки первоначального доступа использовались атаки методом грубой силы (brute-force) на SSH-сервисы с применением специализированных словарей, содержащих учётные данные, характерные для телекоммуникационного оборудования. Успешные компрометации закреплялись через бэкдор AuthDoor - модифицированную версию библиотеки PAM (Pluggable Authentication Module), которая перехватывала учетные данные при аутентификации и сохраняла их в скрытом файле /usr/bin/.dbus.log. Бэкдор также поддерживал "волшебный пароль", обеспечивающий постоянный доступ даже после смены паролей пользователей.

Эскалация привилегий достигалась за счёт эксплуатации уязвимостей в устаревших ОС, характерных для телекоммуникационных систем. Среди них - CVE-2016-5195 (DirtyCOW), позволяющая перезаписать read-only память, CVE-2021-4034 в SUID-бинарнике pkexec и CVE-2021-3156 в sudo. Инструменты для эксплуатации, включая PwnKit и скрипт exploit_userspec.py, оперативно удалялись после использования. Для перемещения по сети применялись кастомные импланты, такие как ChronosRAT, сочетающий функции бэкдора (шифрованное AES-соединение с C2) и модули для кража данных (кейлоггинг, скриншоты). Отдельного внимания заслуживает EchoBackdoor - инструмент, принимающий команды через фрагментированные ICMP-пакеты и возвращающий результаты без шифрования, что осложняло его детектирование.

Сетевая инфраструктура атак включала как публичные, так и специализированные утилиты. FScan использовался для сканирования подсетей на наличие открытых портов (SSH, HTTP, RPC), а Responder - для атак на протоколы разрешения имён (LLMNR, NBT-NS) и перехвата NTLM-хешей через уязвимость WPAD. Устойчивость подключений обеспечивали туннелирование через DNS, микро-прокси (Microsocks) и обратные SSH-соединения на нестандартных портах (например, 53/UDP), часто остающихся открытыми в GRX-сетях для роуминга. Инструмент FRP (Fast Reverse Proxy) версии 0.37.1 развертывался для доступа к внутренним ресурсам извне, а ProxyChains - для маршрутизации трафика через цепочки прокси при передаче файлов.

Особенностью CL-STA-0969 стало использование SGSN Emulator - эмулятора узла SGSN, который создавал туннели GTP для обхода сетевых ограничений. В сочетании с инструментом NoDepDNS, декодирующим команды через DNS-ответы (с XOR-шифрованием и ключом "funnyAndHappy"), это обеспечивало почти невидимое управление инфраструктурой. Злоумышленники продемонстрировали глубокое понимание архитектуры SS7/GPRS, что позволило им эксплуатировать специфические компоненты вроде Gn/Gp-интерфейсов.

Несмотря на отсутствие доказательств достижения финальных целей (сбор данных или слежка), развернутая инфраструктура указывает на долгосрочную подготовку к операциям в телекоммуникационных сетях. Высокая адаптивность инструментов, использование легитимного ПО (Proxychains, FRP) и знание экосистемы жертв подчеркивают уровень угрозы. Группировка активно избегала шаблонных TTPs, что осложняет сигнатурный анализ. По данным Unit 42, активность CL-STA-0969 пересекается не только с Liminal Panda, но и с группами Light Basin, UNC3886 и UNC1945, что указывает на возможную общую тактическую или ресурсную базу. Риски усугубляются зависимостью телеком-операторов от legacy-систем, где патчинг часто невозможен без остановки критических сервисов. В текущем контексте подобные операции создают риски для национальной безопасности, подрывая доверие к глобальным коммуникациям.

SHA256

• 0bb3b4d8b72fec995c56a8a0baf55f2a07d2b361ee127c2b9deced24f67426fd
• 1852473ca6a0b5d945e989fb65fa481452c108b718f0f6fd7e8202e9d183e707
• 188861d7f0861103886543eff63a96c314c8262dbf52c6e0cf9372cf1e889d52
• 3191e1516f39d72191e6c89460f7273826e12d493577b75b6fdee036c85e5a7e
• 3c42194d6c18a480d9a7f3f7550f011c69ff276707e2bae5e6143f7943343f74
• 3e186c24bae58de14b14332a6b14d269b84235a25a892f1327002149f0547739
• 432125ca41a2c5957013c8bff09c4037ad18addccab872d46230dd662a2b8123
• 44e83f84a5d5219e2f7c3cf1e4f02489cae81361227f46946abe4b8d8245b879
• 4985de6574ff34009b6c72504af602a21c152ec104b022d6be94e2fec607eb43
• 540f60702ee5019cd2b39b38b07e17da69bde1f9ed3b4543ff26e9da7ba6e0be
• 705a035e54ce328227341ff9d55de15f4e16d387829cba26dc948170dac1c70f
• 827f41fc1a6f8a4c8a8575b3e2349aeaba0dfc2c9390ef1cceeef1bb85c34161
• 8e2dd7ed7c7bec7ff6ab69990c3172b1a9c2028f67b02f6f8c5429e968d2f8d2
• 9e1f5a134d13167a9148f2d5a1e6a96136d22ecdfbc502aa974544e7efe16a22
• aa661e149f0a6a9a61cadcca47a83893a9e6a5cdb41c3b075175da28e641a80f
• b1e473dd70732ba34b7e985422bfd44f3883379569d89bee523f4263c7070fd9
• b9c91face6ddfecc26d444f891c24796dbc953fb33145749f30b17445400c87c
• b9f67565b56c9464462fa52d937202eef0b5554993c6b2bec8c955db64460cc7
• bacbe2a793d8ddca0a195b67def527e66d280a13a8d4df90b507546b76e87d29
• cd754125657f1d52c08f9274fda57600e12929847eee3f7bea2e60ca5ba7711d
• e3b06f860b8584d69a713127f7d3a4ee5f545ad72e41ec71f9e8692c3525efa0
• edb6ab4bba4d474e60ff266af230cb6c438056937b262f86d3779bdc14de72a4
• efa04c33b289e97a84ec6ab1f1b161f900ed3b4521a9a69fb6986bd9991ecfc6